Wrocławskie centrum medyczne wyjaśnia, że w wyniku cyberataku doszło do naruszenia ochrony danych osobowych. Dane pochodzące z systemu Aurero zostały ujawnione na forum w sieci Tor. Atak hakerski na DCG Centrum Medyczne we Wrocławiu przeprowadzono 19 marca.
DCG Centrum Medyczne we Wrocławiu padło ofiarą cyberataku
Placówka przekazała, że informację o cyberataku otrzymała 21 marca (dwa dni po ataku hakerskim) od spółki Medily, która w latach 2019-2021 świadczyła usługi informatyczne. Po zakończeniu umowy firma była zobowiązana do usunięcia danych. Z kolei spółka Medily dowiedziała się o cyberataku 19 marca od CERT NASK.
"Po przeprowadzeniu wnikliwej analizy przez nasz zespół IT oraz przy wsparciu specjalistów z zakresu cyberbezpieczeństwa potwierdzono, że ujawnione dane pochodzą z archiwalnego środowiska testowego starej wersji systemu Aurero, na którym przeprowadzane były testy wydania wersji na rzeczywistych danych. Praktyka takich testów została zaprzestana z końcem 2021 roku" - przekazał w komunikacie Patryk Ogórek, prezes zarządu spółki Medily.
W archiwalnym bazach znajdowały się m.in. dane osobowe pacjentów (w tym PESEL, dane adresowe i kontaktowe), dane o ich stanie zdrowia oraz informacje o umówionych wizytach. Dane obejmują okres od 2019 r. i nie zawierają dokumentów załączanych bezpośrednio w systemie. "Opublikowane pliki zostały już usunięte i nie są dostępne w sieci" - zapewniono. Po cyberataku zmieniono hasła dostępu i przeprowadzono dodatkowe audyty zabezpieczeń sieciowych, a także przebudowano od nowa środowiska testowe. Spółka złożyła również zawiadomienie o podejrzeniu popełnienia przestępstwa.
Hakerzy wykradli PESEL. Jest apel do pacjentów placówki
"DCG Centrum Medyczne nie wysyła za pośrednictwem wiadomości SMS żadnych linków zewnętrznych" - czytamy na stronie internetowej. Placówka zachęca, aby kontaktować się z centralą poprzez e-mail kontakt@dcg.wroclaw.pl lub za pośrednictwem formularza kontaktowego, który jest dostępny na stronie internetowej www.dcg.wroclaw.pl.
Placówka medyczna apeluje, aby zachować ostrożność przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu lub telefonu służbowego. Zachęca również, by zastrzec numer PESEL. Można to zrobić bezpłatnie w aplikacji mObywatel, na stronie mobywatel.gov.pl lub osobiście w dowolnym urzędzie gminy (potrzebny będzie papierowy wniosek). W przypadku kradzieży tożsamości i zaciągnięciu zobowiązań finansowych należy zgłosić to niezwłocznie na policję lub innym organom ścigania.
